Comment activer TLS 1.2 sur les clients

  • Article

S’applique à : Gestionnaire de configuration (branche actuelle)

Lorsque vous activez TLS 1.2 pour votre environnement de Gestionnaire de configuration, commencez par vous assurer que les clients sont capables et correctement configurés pour utiliser TLS 1.2 avant d’activer TLS 1.2 et de désactiver les protocoles plus anciens sur les serveurs de site et les systèmes de site distants. Il existe trois tâches pour l’activation de TLS 1.2 sur les clients :

  • Mettre à jour Windows et WinHTTP
  • Assurez-vous que TLS 1.2 est activé en tant que protocole pour SChannel au niveau du système d’exploitation
  • Mettez à jour et configurez le .NET Framework pour prendre en charge TLS 1.2

Pour plus d’informations sur les dépendances pour des scénarios et fonctionnalités du Gestionnaire de configuration spécifiques, consultez À propos de l’activation de TLS 1.2.

Mettre à jour Windows et WinHTTP

Windows 8.1, Windows Server 2012 R2, Windows 10, Windows Server 2016, et les versions ultérieures de Windows prennent en charge nativement TLS 1.2 pour les communications client-serveur sur WinHTTP.

Les versions antérieures de Windows, telles que Windows 7 ou Windows Server 2012, n’activent pas TLS 1.1 ou TLS 1.2 par défaut pour les communications sécurisées à l’aide de WinHTTP. Pour ces versions antérieures de Windows, installez Mise à jour 3140245 pour activer la valeur de registre ci-dessous, qui peut être définie pour ajouter TLS 1.1 et TLS 1.2 à la liste des protocoles sécurisés par défaut pour WinHTTP. Une fois le correctif installé, créez les valeurs de registre suivantes :

Importante

Activez ces paramètres sur tous les clients exécutant des versions antérieures de Windows avantd’activer TLS 1.2 et de désactiver les protocoles plus anciens sur les serveurs du Gestionnaire de configuration. Sinon, vous pouvez les rendre orphelines par inadvertance.

Vérifiez la valeur du paramètre de registre DefaultSecureProtocols, par exemple :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\
      DefaultSecureProtocols = (DWORD): 0xAA0
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp\
      DefaultSecureProtocols = (DWORD): 0xAA0

Si vous modifiez cette valeur, redémarrez l’ordinateur.

L’exemple ci-dessus montre la valeur de l’élément 0xAA0 du paramètre DefaultSecureProtocols de WinHTTP. La Mise à jour pour activer TLS 1.1 et TLS 1.2 comme protocoles sécurisés par défaut dans WinHTTP dans Windows répertorie la valeur hexadécimale pour chaque protocole. Par défaut, dans Windows, cette valeur est 0x0A0 pour activer SSL 3.0 et TLS 1.0 pour WinHTTP. L’exemple ci-dessus conserve ces valeurs par défaut et active également TLS 1.1 et TLS 1.2 pour WinHTTP. Cette configuration garantit que la modification n’interrompt pas les autres applications qui peuvent encore s’appuyer sur SSL 3.0 ou TLS 1.0. Vous pouvez utiliser la valeur de 0xA00 pour activer uniquement TLS 1.1 et TLS 1.2. Le Gestionnaire de configuration prend en charge le protocole le plus sécurisé que Windows négocie entre les deux appareils.

Si vous souhaitez désactiver complètement SSL 3.0 et TLS 1.0, utilisez le paramètre des protocoles désactivés SChannel dans Windows. Pour plus d’informations, consultez Restreindre l’utilisation de certains algorithmes et protocoles de chiffrement dans Schannel.dll.

Assurez-vous que TLS 1.2 est activé en tant que protocole pour SChannel au niveau du système d’exploitation

Pour la plupart, l’utilisation du protocole est contrôlée à trois niveaux : le niveau du système d’exploitation, le niveau de l’infrastructure ou de la plateforme et le niveau de l’application. TLS 1.2 est activé par défaut au niveau du système d’exploitation. Une fois que vous avez vérifié que les valeurs de Registre .NET sont définies pour activer TLS 1.2 et que vous avez vérifié que l’environnement utilise correctement TLS 1.2 sur le réseau, vous pouvez modifier la clé de SChannel\Protocols Registre pour désactiver les protocoles plus anciens et moins sécurisés. Pour plus d’informations sur la désactivation de TLS 1.0 et 1.1, consultez Configuration des protocoles Schannel dans le Registre Windows.

Mettez à jour et configurez le .NET Framework pour prendre en charge TLS 1.2

Déterminer la version de .NET

Tout d’abord, déterminez les versions .NET installées. Pour plus d’informations, consultez l’article Déterminer les versions et les niveaux de Service Pack installés de .NET Framework.

Installation des mises à jour .NET

Installez les mises à jour .NET pour activer le chiffrement fort. Certaines versions de .NET Framework peuvent nécessiter des mises à jour pour activer un chiffrement fort. Utilisez les instructions suivantes :

  • NET Framework 4.6.2 et versions ultérieures prend en charge TLS 1.1 et TLS 1.2. Vérifiez les paramètres du Registre, mais aucune modification supplémentaire n’est requise.

    Remarque

    À compter de la version 2107, Configuration Manager nécessite Microsoft .NET Framework version 4.6.2 pour les serveurs de site, les systèmes de site, les clients et la console spécifiques. Si possible dans votre environnement, installez la dernière version de .NET version 4.8.

  • Mettez à jour NET Framework 4.6 et versions antérieures pour prendre en charge TLS 1.1 et TLS 1.2. Pour plus d’informations, consultez l’article Versions et dépendances de .NET Framework.

  • Si vous utilisez .NET Framework 4.5.1 ou 4.5.2 sur Windows 8.1, Windows Server 2012 R2 ou Windows Server 2012, il est vivement recommandé d’installer les dernières mises à jour de sécurité pour .Net Framework 4.5.1 et 4.5.2 pour vous assurer que TLS 1.2 peut être activé correctement.

    À titre de référence, TLS 1.2 a été introduit pour la première fois dans .Net Framework 4.5.1 et 4.5.2 avec les correctifs cumulatifs suivants :

Configurer pour un chiffrement fort

Configurez .NET Framework pour prendre en charge le chiffrement fort. Définissez le paramètre de SchUseStrongCrypto Registre sur DWORD:00000001. Cette valeur désactive le chiffrement de flux RC4 et nécessite un redémarrage. Pour plus d’informations sur ce paramètre, consultez Microsoft 296038 d’avis de sécurité.

Veillez à définir les clés de Registre suivantes sur n’importe quel ordinateur qui communique sur le réseau avec un système compatible TLS 1.2. Par exemple, Configuration Manager clients, les rôles de système de site distants non installés sur le serveur de site et le serveur de site lui-même.

Pour les applications 32 bits qui s’exécutent sur des systèmes d’exploitation 32 bits et pour les applications 64 bits qui s’exécutent sur des systèmes d’exploitation 64 bits, mettez à jour les valeurs de sous-clé suivantes :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

Pour les applications 32 bits qui s’exécutent sur des systèmes d’exploitation 64 bits, effectuez la mise à jour des valeurs de sous-clé suivantes :

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\.NETFramework\v2.0.50727]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\.NETFramework\v4.0.30319]
      "SystemDefaultTlsVersions" = dword:00000001
      "SchUseStrongCrypto" = dword:00000001

Remarque

Le SchUseStrongCrypto paramètre permet à .NET d’utiliser TLS 1.1 et TLS 1.2. Le SystemDefaultTlsVersions paramètre permet à .NET d’utiliser la configuration du système d’exploitation. Pour plus d’informations, consultez Meilleures pratiques TLS avec .NET Framework.

Prochaines étapes